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Re: Consulta Pública ANPD — Fiscalização e Aplicação de Sanção 


A BSA| The Software Alliance (BSA) agradece a oportunidade de fornecer comentários à Autoridade 
Nacional de Proteção de Dados (ANPD) à minuta de resolução que estabelece os mecanismos de 
fiscalização e aplicação de sanção que a ANPD pretende adotar com base na Lei Geral de Proteção de 
Dados (LGPD). 


A BSA apoia regras de proteção de dados que são baseadas em risco, neutras em tecnologia e flexíveis. 
Os membros da BSA têm um compromisso profundo e de longa data na proteção dos dados de seus 
clientes através de tecnologias e modelos de negócio. Nós também reconhecemos que, para ser eficaz, 
um regulador de privacidade de dados necessita de ferramentas apropriadas e deve garantir que os 
recursos impostos às entidades que violam a respectiva lei de proteção de dados sejam proporcionais aos 
danos resultantes das violações. Elogiamos a ANPD por seus esforços para desenvolver regulamentos de 
fiscalização que promovam uma abordagem baseada em evidências, processos transparentes e justos e 
proporcionalidade entre os riscos e os recursos alocados. 


Nossos comentários abordam três aspectos da minuta de resolução, com foco na necessidade de garantia 
de: (1) adoção de ferramentas reguladoras eficazes; (2) soluções que sejam proporcionais ao aos danos 
causados por violações; e (3) regulamentações que promovam a privacidade, sem criar inadvertidamente 
riscos de privacidade e segurança. 


l. Necessidade de Ferramentas Regulatórias Eficazes 


As autoridades de proteção de dados devem ter ferramentas e recursos necessários para garantir a 
aplicação efetivas das respectivas leis de proteção de dados. A capacidade da ANPD de aplicar 
efetivamente a LGPD é fundamental para proteger a privacidade dos indivíduos, garantindo que as 
organizações sujeitas à lei cumpram seus compromissos e obrigações legais e dissuadindo possíveis 
violações. A LGPD estabelece uma série de ferramentas e autoridades para a ANPD, a fim de assegurar 
que ela possa cumprir essa missão. Nós oferecemos os seguintes comentários a respeito de duas 
ferramentas abordadas na minuta de resolução: 


Premissas para fiscalização. A minuta de resolução estabelece uma série de premissas nas quais 
a ANPD irá basear sua atividade de supervisão, incluindo a priorização de ações baseadas em 
evidências e gerenciamento de riscos, adotando medidas que sejam proporcionais aos riscos 
identificados e incentivando a promoção de uma cultura de proteção de dados. Acreditamos que 
estas premissas são críticas para o trabalho de qualquer regulador e apoiamos fortemente o 
reconhecimento da ANPD de que suas atividades devem se concentrar em evidências de práticas 
reais e riscos de danos ocasionados por violações. 


Mapeamento de Prioridades. A minuta de resolução também prevê que a ANPD realizará um 
mapeamento bienal de prioridades que permitirá ao órgão regulador priorizar suas atividades e 
recursos. Apoiamos esta abordagem que cria uma estrutura para implementar o método de 
regulamentação baseado em evidências e em riscos. Ao mesmo tempo, a minuta de resolução 
não parece contemplar um canal de consulta às partes interessadas para a elaboração deste 
mapeamento. No entanto, o feedback das partes interessadas pode ajudar a ANPD a refinar suas 
prioridades e entender as preocupações que podem não surgir de forma clara no mapeamento 
realizado pela ANPD — incluindo questões emergentes que ainda não estão refletidas nas 
evidências coletadas pelo regulador. Nesse sentido, sugerimos a alteração nos Artigos 20-22 para 
criar um mecanismo em que a ANPD solicite o feedback das partes interessadas a respeito das 
minutas de mapeamentos bienais (através de consulta pública) antes de que cada um desses 
mapeamentos seja finalizado. 


Necessidade de que as fiscalizações sejam proporcionais ao dano resultante das violações 


Recursos eficazes em uma estrutura de proteção de dados são importantes para garantir que os direitos 
dos titulares sejam suficientemente protegidos e que as empresas sejam dissuadidas de violar suas 
obrigações perante a Lei. Entretanto, é importante estruturar remédios e penalidades para ser eficaz e 
proporcional aos danos resultantes dessas violações. Apreciamos a abordagem da minuta de resolução 
para garantir que a ANPD aplique remédios que sejam proporcionais às violações, de forma baseada em 


Oferecemos os seguintes comentários à minuta de resolução: 


Faixas claras e distintas de fiscalização. Nós apoiamos fortemente a abordagem da minuta de 
resolução que estabelece faixas claras e distintas de fiscalização, incluindo diversas opções que 
podem ser usadas sem necessariamente impor sanções. Esse mecanismo assegura que a ANPD 
tenha um amplo conjunto de opções de fiscalização a considerar para determinar qual solução é 
apropriada dados os fatos de um caso em particular. Especificamente, a minuta de resolução 
reconhece que em certos casos a solução apropriada será emitir orientações, aplicar medidas 
preventivas, solicitar regularização ou entrar em um plano de cumprimento — e que estas opções 
possam ser apropriadas quando a aplicação de sanções não for uma solução proporcional. Essas 
opções reconhecem que, em muitos casos, as empresas que são informadas ou advertidas de sua 
conduta podem estar violando a lei possam corrigir sua conduta voluntariamente e forneçam às 
empresas fortes incentivos para fazê-lo. Ao mesmo tempo, a minuta de resolução reconhece 
apropriadamente a capacidade da ANPD de buscar sanções quando as empresas não tomam 
medidas apropriadas em tempo hábil. 


Busca de fatos específicos de cada caso. A minuta de resolução também reconhece que as 
decisões de fiscalização serão baseadas nos critérios estabelecidos pela LGPD, que prevê que 
qualquer sanção deva ser imposta de acordo com as “peculiaridades do caso em particular” e 
deve levar em conta critérios incluindo a gravidade e a natureza da infração, a boa fé do infrator, 
a vantagem recebida ou pretendida pelo infrator, a condição econômica do infrator, a 
reincidência, o nível de dano, a cooperação, a adoção de procedimentos internos capazes de 
minimizar o dano, a adoção de uma política de boa governança, a adoção imediata de medidas 
corretivas e a proporcionalidade entre a gravidade da infração e a intensidade da sanção (Minuta 
de Resolução Seção Ill, citação ao Art. 52 da LGPD). A minuta de resolução declara que uma 
decisão deva ser motivada por estes critérios, sem também declarar expressamente que os 
critérios estabelecidos pela LGPD serão especificamente referenciados nas decisões da ANPD. 
Acreditamos que a minuta de resolução deveria fazer referência mais expressa aos critérios da 
LGPD, tanto para ressaltar que esses critérios serão incorporados aos processos subjacentes da 
ANPD quanto para criar incentivos claros para que as empresas adotem políticas e práticas de boa 


governança em linha com esses critérios. Nesse sentido, sugerimos que o Art. 61 da minuta de 
resolução seja emendado para exigir que a ANPD esclareça que as decisões escritas pela ANPD 
farão referência expressa a cada um dos critérios específicos do Art. 52 da LGPD, o que não só 
aumentaria o foco sobre estes critérios exigidos, mas também aumentaria a transparência sobre 
como a ANPD considera e pesa estes critérios. 


Prazos de fiscalização devem permitir a busca de fatos específicos para cada caso. Por fim, 
notamos preocupações com os curtos prazos para responder a vários aspectos do processo de 
sanções da ANPD. Por exemplo, o Art 53 prevê que as empresas apresentarão uma defesa dentro 
de 10 dias após receberem uma citação; o Art. 59 prevê 10 dias para responder às alegações finais 
e o Art. 64 prevê que um recurso será apresentado dentro de 10 dias. Estes prazos curtos têm o 
potencial de impedir que as empresas reúnam o conjunto de informações factuais relevantes à 
investigação da ANPD e poderiam limitar a capacidade da agência de compreender o real contexto 
da suposta violação. Como resultado, estes prazos curtos podem prejudicar a capacidade da ANPD 
de assegurar que uma solução seja proporcional aos fatos particulares de um determinado caso. 


Sugerimos que seja assegurado que o processo de sanções contenha flexibilidade nessa linha do 
tempo, criando um prazo padrão superior a 10 dias e assegurando que as empresas possam 
buscar uma extensão destes prazos em casos específicos. 


Garantir que os remédios não sejam administrados de maneira que prejudiquem a 
privacidade ou a segurança 


A minuta de resolução também estabelece uma série de deveres impostos às empresas que estão sujeitas 
à jurisdição da ANPD. Embora compartilhemos o objetivo de assegurar que essas obrigações preservem a 
privacidade dos dados pessoais sujeitos à LGPD, destacamos duas preocupações com a linguagem atual, 
que poderiam inadvertidamente minar a privacidade e as boas práticas de segurança. 


Potencial para auditorias locais. No Art. 5º, a minuta de resolução prevê que as empresas devam 
permitir o acesso da ANPD às instalações e equipamentos para a avaliação de suas atividades de 
processamento de dados pessoais. Embora reconheçamos a necessidade de as empresas 
fornecerem informações apropriadas à ANPD no curso de uma ação de fiscalização, auditorias no 
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local como as contempladas pelo Art. 5º podem levantar preocupações específicas de segurança 
e privacidade, particularmente quando a empresa em questão forneça serviços comerciais a uma 
ampla gama de outras empresas cujas atividades não são o foco da investigação. Por exemplo, 
uma auditoria in loco de uma empresa agindo como prestador de serviços para dezenas ou 
centenas de clientes pode expor a equipe de autoria in loco a uma série de informações que não 
são objeto de seus esforços, a menos que o regulador e a empresa trabalhem para implementar 
salvaguardas de privacidade e segurança em relação à forma como as informações devem ser 
analisadas in loco. No contexto dos serviços em nuvem, por exemplo, as auditorias locais 
frequentemente oferecem poucas informações além das disponíveis através de outras fontes 
uma vez que os dados mais relevantes para uma investigação podem simplesmente precisar ser 
coletados dos servidores — e são revisados e analisados mais eficientemente em local externo às 


instalações do servidor. Portanto, recomendamos que o Art. 5º seja revisado para reconhecer que 
a ANPD deva limitar o uso de auditorias in loco e deva tomar medidas para tratar de questões de 


privacidade e segurança que possam ser levantadas por uma auditoria in loco em um determinado 
caso. 


Retenção de dados. De maneira similar, o Art. 5º também exige que as empresas retenham 
documentos físicos e digitais durante os períodos estabelecidos na LGPD, bem como durante todo 
o período de processamento dos processos administrativos nos quais eles são necessários. Se lido 
de forma ampla, esta linguagem poderia inadvertidamente criar riscos de privacidade e 
segurança, incentivando as empresas a reter dados que de outra forma não o fariam, incluindo 
dados para os quais pode não haver necessidade comercial de reter. Isto cria riscos à privacidade 
e à segurança uma vez que os dados permanecem acessíveis a alguns atores naquele momento, 
em vez de serem apagados ou desidentificados com segurança. Sugerimos que a ANPD esclareça 


que o Art. 5º não impõe nenhuma obrigação de retenção de dados além daqueles contidos na 
LGPD e em outros leis existentes. 


A BSA agradece a ANPD pela oportunidade de oferecer comentários à minuta de resolução e ficaria 
lisonjeada em servir como um recurso ao desenvolvimento da resolução. 


Respeitosamente, 


BSA | The Software Alliance 


